Tutti i dati che Amazon ha su di me

Mi sono trovato davanti una tabella con 12.048 righe e 49 colonne che contiene tutti i click della mia attività su Amazon che sono stati registrati.

|
ott 3 2018, 11:04am

Nell’epoca della disintegrazione digitale del nostro io, disperso fra mille piattaforme che assorbono i nostri dati personali e le nostre attività online, l’attenzione sul colosso del commercio online, Amazon, sembra essere ancora troppo bassa. Ma ho deciso di graffiare la superficie e guardare l’abisso: ho inviato una richiesta di accesso ai miei dati personali che ha aperto un mondo di tracciamenti.

Se da un lato il monopolio di Amazon sta già cominciando ad attirare l’attenzione di esperti di anti-trust sia americani che europei, il tema della sorveglianza digitale della piattaforma di Jeff Bezos sembra ancora poco sondato.

Il 2018 è stato l’anno del disastro di Facebook, in cui ci è stata sbattuta in faccia la capillarità del tracciamento del social network — ogni nostra singola azione e dato personale diventano un vettore per la produzione di pubblicità mirate. Amazon, però, sembra esserne uscito indenne.

I dati di clickstream sono la registrazione di ogni click e azione che effettuiamo sul sito web di Amazon, completa di informazioni relative alla data, al tipo di dispositivo che stiamo usando, all’indirizzo IP e alla nostra posizione.

È per questo che lo scorso maggio, prima dell’ingresso in vigore del nuovo regolamento europeo per la protezione dei dati personali (GDPR), ho inviato una richiesta di accesso ai miei dati personali ad Amazon. La risposta è arrivata dopo dieci giorni e conteneva una striminzita lista di dati che sono già disponibili anche attraverso il pannello dell’account personale.

La mail conteneva quattro allegati, protetti da password: Miscellaneous, Corrispondenza con i venditori, Corrispondenza con il Customer service, e Storico degli ordini. La parte più interessante, il documento Miscellaneous, aveva al suo interno la lista di carte di credito collegate all’account, i miei dispositivi connessi ad Amazon, e informazioni su eventuali promozioni attive.

In sostanza, però, nulla di straordinario. Cosa alquanto strana, perché mi sarei aspettato come minimo anche tutta la lista di ricerche che ho effettuato e le comunicazioni via mail relative ai prodotti che mi possono interessare. Ma non c’era nulla di tutto questo.

Il 28 aprile, però, l’attivista e politica Katharina Nocun ha pubblicato su Spiegel Online la sua epopea con Amazon per ottenere i propri dati personali. All’interno dell’articolo si parla dei cosiddetti dati di clickstream che l’attivista è riuscita ad ottenere dopo mesi di richieste.

I dati di clickstream sono la registrazione di ogni click e azione che effettuiamo sul sito web di Amazon, completa di informazioni relative alla data, al tipo di dispositivo che stiamo usando, all’indirizzo IP e alla nostra posizione.

Forte di questo precedente, ho subito inviato un’ulteriore richiesta ad Amazon per avere anche io questi dati. Dopo 90 giorni di attesa ho finalmente ottenuto ciò che volevo:

Fra i vari file allegati vi è quello relativo alle ricerche effettuate, che però contiene solamente l’oggetto della ricerca e nessun altro tipo di informazione temporale — i dati non sembrano nemmeno includere tutte le ricerche che ho effettuato dalla prima volta che ho usato Amazon.

Allo stesso modo è interessante notare il file relativo ai dati di localizzazione che però include pochissimi valori — molto probabilmente legato al fatto che ho disabilitato l’accesso alle informazioni del GPS per la mia app di Amazon.

Il file più interessante, però, è quello relativo al clickstream: mi trovo davanti una tabella con 12.048 righe e 49 colonne che contiene tutti i click relativi alla mia attività su Amazon che sono stati registrati.

Inoltre, vengono registrati tutti i nostri spostamenti all’interno del sito di Amazon, raccogliendo informazioni sulla pagina visitata precedentemente e quella successiva, e anche l’URL che ci ha condotto alla pagina che si sta visualizzando.

Ogni riga è relativa ad una sessione e, per capire il significato di ogni singolo dato registrato, Amazon ha allegato anche un file in cui commenta e spiega ogni valore — potete trovare il documento alla fine di questo articolo.

I dati riguardano il giorno e l’ora in cui viene visitata una specifica pagina, l’indirizzo IP e il dispositivo utilizzato, la geolocalizzazione — qualora fosse possibile — sulla base dell’indirizzo IP, e il nome dell’azienda di telecomunicazioni che offre la connessione internet.

Inoltre, vengono registrati tutti i nostri spostamenti all’interno del sito di Amazon, raccogliendo informazioni sulla pagina visitata precedentemente e quella successiva, e anche l’URL che ci ha condotto alla pagina che si sta visualizzando. Viene persino registrato se per quel giorno l’ultima pagina che abbiamo aperto sul nostro browser è stata Amazon.

Molti dei valori della tabella sono mancanti e alcuni presentano dei link non raggiungibili.

Abbiamo chiesto informazioni direttamente ad Amazon per capire per quanto tempo vengono conservati questi dati, quando è iniziata la raccolta — dal momento che il mio account risale al 2013 mentre i dati di clickstream sono solo relativi al 2017 —, e soprattutto se verranno forniti di default in risposta alle richieste di accesso ai dati effettuate secondo i termini del GDPR.

Al momento della pubblicazione di questo articolo ancora non abbiamo ricevuto risposte.

Nell’informativa sulla privacy presente sul sito di Amazon, “descrivono abbastanza dettagliatamente il tipo di dati che raccolgono,” mi spiega Michael Veale, ricercatore presso lo University College London ed esperto di privacy, “ma non sembra che colleghino questa raccolta a quanto previsto dal GDPR, come ad esempio il consenso, il contratto o l’interesse legittimo.”

I dati di clickstream, spiega Veale, “sono comunemente raccolti dalle aziende per registrare dati dettagliati dei propri utenti, anche per scopi di sperimentazione sugli utenti, che possono essere altamente invasivi per la privacy.” È però difficile confermare che ogni sito di e-commerce li raccolga, chiarisce Veale, ma sappiamo che alcune aziende sono riluttanti e non vogliono consegnarli agli utenti.

Quello che colpisce, però, è vederli aggregati tutti insieme in una tabella e specchiarsi in essi riconoscendo il nostro doppio digitale preda degli impulsi agli acquisti.

Quello che colpisce, però, è vederli aggregati tutti insieme in una tabella e specchiarsi in essi riconoscendo il nostro doppio digitale preda degli impulsi agli acquisti, rivelando le nostre passioni più intime, i nostri interessi e le nostre manie — incluse le ricerche di prodotti agli orari più improbabili della notte.

Se da un lato questi dati sembrano necessari per l’analisi delle metriche dei siti, dall’altra porte sollevano notevoli dubbi sul livello di dettaglio cui hanno accesso queste piattaforme: è come se fossimo costantemente seguiti da una persona che sbircia da sopra la nostra spalla i nostri click, segnando meticolosamente tutti i valori in un taccuino. E questo avviene ogni singolo istante della nostra vita.

“Molte informazioni possono essere dedotte da questo tipo di raccolta, sia implicitamente che esplicitamente,” sottolinea Veale, “è importante che ci sia trasparenza e supervisione sul modo in cui questi dati vengono utilizzati per la predizione o personalizzazione: i dati non devono essere conservati più a lungo del necessario in base al GDPR, quindi Amazon non dovrebbe tenerseli in mano ma decidere se sono utili per uno scopo o, in caso contrario, dovrebbero essere cancellati.”

Questi dati dovrebbero essere forniti ad ogni richiesta, “si tratta di dati personali e, quando gli utenti richiedono tutti i loro dati personali da Amazon o da qualsiasi altra azienda, devono essere forniti anche i dati di tracciamento e di utilizzo del sito web, idealmente in forma intelligibile,” conclude Veale.

Inoltre, rispetto alle risposte ricevute da Nocun, nel mio caso mancano ancora molti dati relativi alle inserzioni pubblicitarie su cui ho cliccato e altri dettagli sulle mail ricevute basate sulle mie preferenze.

Non mi resta quindi che cambiare arma: con l’introduzione del GDPR — che ha intasato le nostre caselle mail ma che ci ha anche fornito uno strumento potentissimo per il controllo dei nostri dati online — invierò un’ulteriore richiesta ad Amazon per ottenere, una volta per tutte, tutti i dati che ha sul mio conto.